主动Web漏洞扫描中的场景技术研究
CN43-1258/TPlSSN1007-130X
计算机工程与科学
CA)MPUTERENGINEERING&SCIENCE
2010年第32卷第3期
V01.32,No.3,2010
■■——一IIIIIIII■●——●—●——●—●●—■—————■—■■●●■—■—●■■—■■—■—■■—■■■■■■■■—●—■■—■■■■■●—●——●■●■●—■——●文章编号:1007—130X(2010)03—0031—04
主动Web漏洞扫描中的场景技术研究
ResearchontheScenariooftheActive
ScanningofWebVulnerability
余杰1。李舟军2,张狮斌3,李强2
YUJieI。LIzhoa-j耐。ZItANG
Ya-bin93,LI懈
(1.国防科学技术大学计算机学院。湖南长沙410073;2.北京航空航天大学计算机学院,北京100083;
3.中国信息安全产品测评认证中心,北京100089)
(1.SchoolofComputerScience。NationalUniversityofDefenseTechnology,Changsha410073;
2.SchoolofComputerScknceandEq;il均耐ng。neihangUniversity。neijing100083;
3.ChinaInformationTechnologySecerityCertificationCenter.B嘶jng100089-Chin)
摘要:当前,主要的开源Web漏洞扫描工具如Nikto、Nessus等都存在误报率与漏报率较高、评估不准确、扫描效率较低等问题。本文对漏洞扫描过程进行建模,在传统的基于配置的扫描策略上,提出了一种基于场景的扫描策略。使用场景树描述漏洞场景,并给出了场景树的构建及维护策略。最后,以Nikto的漏洞数据库为例,示范了如何将多条漏洞用例转化为场景树描述。使用漏洞场景扫描策略可以提高扫描效率,减小误报率,提高评估的准确度。
Abstract:Recently,Webvulnerabilityscanninghasanimportantroleinnetworksecurity.However,themostpopularopen-sourcewebvulnerabilityscanners.suchasNikto,Nessus,etc.,havebeencriticizedfortheirhighfalsealarms,inac—curateevaluationandlOWsanningefficiency.Inthispaper,theprocessofvulnerabilityscanningismodeledaccuratelyandanewscenario-basedscanningstrategyispresented.Vulnerabilityscenarioisdescribedbyascenariotree.Thealgorithmsofhowtoconstructandmaintainscemriotreesinvulnerabilitydatabasesarealsoproposed.Finally,weanalyzethevulnerabil—ity
databaseofNiktoanddemonstratehowtOconstructascenariotreeusingitsvulnerabilityrecords.Weproveandvalidate
thatthescenario-basedscanning
strategyCanimprovetheefficiencyandveracityofvulnerabilitysanning.关键词:网络安全;漏洞扫描;基于场景的扫描策略;场景树
Keywolrds:networksecurity;vulnerabilityscanning;scenario-basedscanningstrategy;scenariotree
doi:10.3969/j.issn.1007—130)(.2010.03.009
中图分类号:TP393.08文献标识码:A
1引言
Internet的迅速发展得益于web的出现和发展。目前,web应用主要面临如下安全问题:计算机软件的设计与实现漏洞;TCP/IP协议设计时未充分考虑其安全性;系统和网络使用过程中的错误配置与操作[1]。安全管理人员尽早发现和修补系统漏洞是预防攻击的重要措施。传统的白盒测试和黑盒测试技术主要测试Web应用的功能和正确性,无法保证其安全性。学术界和工业界的研究人员花费了大量的资源来研发web应用安全扫描工具[2],如软件自动测试平台、Web漏洞扫描器等。
漏洞也叫脆弱性(Vulnerability),是计算机系统在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷和不足,非法用户可利用系统安全漏洞获得计算机系统的额外权限,在未经授权的情况下进行访问或提高其访问权限,破坏系统,危害计算机安全。按照漏洞对系统产生影响的方式,Web应用程序漏洞可分为以下七类:SQL注入漏
-收稿日期:2008—09—15;修订日期:2008—12一10
鬈金项目:国家自然科学基金资助项目(60473057。60573057,90604007,90718017);博士学科点专项科研基金资助项目作者简介:余杰(1一),男,重庆人,博士生。研究方向为网络安全与测量;李舟军,博士,教授,博导
师
,
研
究
方
向
为
高
可
信
软
.
9
8
2
.士tt件理论与技术,网络与信息安全、数据与文本挖掘技术.。.
A遍d讯dr地ess驾B’4ri910ad07e;鬻Sc南ho省ol长of沙C市om国pu防te科r学Sc技ien术ce大N学ati计on算al机U学niv院ers7it队yo;TfDele以fe52nsloeT83e2ch8n606150E。gy发C“h:a如ng@shna踏uedna“n饥410073.P.RCh?ina:7,,
,H-.R
万方数据